Votre voisin a installé des panneaux solaires l’été dernier. Belle initiative écologique. Mais son onduleur connecté, silencieusement branché sur son réseau Wi-Fi, envoie chaque jour des données vers des serveurs, parfois situés en Chine, auxquels vous n’avez jamais consenti et dont vous ignorez probablement l’existence. Et si l’installation est mal sécurisée, ces données pourraient révéler bien plus que la courbe de production de ses panneaux.
À retenir
- Votre onduleur solaire transmet secrètement un « journal intime énergétique » détaillant vos horaires et habitudes
- Des experts ont découvert des composants cachés dans les onduleurs chinois permettant un contrôle à distance des réseaux
- La Chine contrôle 80% du marché mondial des onduleurs, créant une dépendance stratégique critique pour l’Europe
L’onduleur : le cerveau connecté que personne ne surveille
Derrière chaque installation photovoltaïque se cache un composant qu’on n’évoque presque jamais dans les brochures commerciales : l’onduleur. C’est lui qui convertit le courant continu produit par les panneaux en courant alternatif utilisable dans la maison, tout en mesurant en permanence les données de production, tension, courant, puissance. Jusque-là, rien d’alarmant. Mais pour rendre ces données accessibles à distance, l’onduleur doit être connecté à Internet, via un câble Ethernet, le Wi-Fi ou un dongle dédié. Les données sont ensuite transmises vers la plateforme cloud du fabricant.
Ce que les propriétaires ignorent souvent, c’est que la plupart des applications de monitoring transmettent les informations de production aux serveurs du fabricant. Ces systèmes collectent des informations sur l’autoconsommation : le niveau de production heure par heure, la consommation de chaque appareil, la part réinjectée sur le réseau. Un profil de consommation aussi fin permet de déduire des habitudes de vie très précises, heures de réveil, absences, équipements utilisés. C’est l’équivalent d’un journal intime énergétique, transmis chaque jour à un opérateur tiers.
Les données de consommation collectées via l’application peuvent ainsi révéler les habitudes de vie et faciliter d’autres fraudes. Et on peut généralement désactiver cette transmission dans les paramètres, mais au prix de perdre l’accès aux fonctionnalités cloud comme la surveillance à distance ou les alertes par e-mail. Un choix que la très grande majorité des utilisateurs ne font jamais, parce qu’ils ne savent tout simplement pas qu’il existe.
Des dispositifs cachés dans les onduleurs : l’alerte qui a tout changé
Le dossier a pris une toute autre dimension en mai 2025. Reuters a révélé, le 14 mai 2025, que des experts américains du réseau électrique avaient découvert des dispositifs de communication illégaux dans des onduleurs fabriqués en Chine. Concret et documenté : des dispositifs cachés de communication malveillants, non répertoriés dans les documents décrivant le fonctionnement des appareils, ont été découverts par des experts qui démontaient les équipements. Ces composants fournissaient des canaux de communication supplémentaires pouvant permettre de contourner les pare-feu à distance.
Une source aurait également révélé que des dispositifs de communication non documentés avaient été retrouvés dans certaines batteries provenant de plusieurs fournisseurs chinois. L’utilisation de ces dispositifs de communication cachés permettrait d’éteindre les onduleurs à distance, de modifier leurs paramètres et pourrait déstabiliser les réseaux électriques, endommager les infrastructures énergétiques et déclencher des pannes de courant généralisées.
Le contexte de marché rend l’affaire d’autant plus préoccupante. Dans les onduleurs solaires, la Chine capte à elle seule 80 % du marché mondial, grâce à plusieurs géants comme Sungrow et, surtout, Huawei. Avec plus de 200 GW de capacité solaire européenne dépendant de ces onduleurs, soit l’équivalent de plus de 200 centrales nucléaires, le risque de sécurité est qualifié de systémique par le Conseil européen de la fabrication solaire. Ce chiffre donne le vertige. Et la France n’est évidemment pas en marge.
Bruxelles tire le signal d’alarme, tardivement
La Commission européenne a confirmé, en mai 2026, la fin des subventions pour les projets énergétiques utilisant des onduleurs fournis par des “vendeurs à haut risque”. Cette mesure, appliquée depuis le 1er avril, concerne à la fois les fonds venant directement de Bruxelles, mais aussi ceux attribués par ses partenaires, dont la Banque européenne d’investissement. Les onduleurs et autres équipements “peuvent être pilotés à distance grâce à différents moyens de connexion”, ce qui, selon une porte-parole de la Commission européenne, “pourrait se traduire par un arrêt à distance des réseaux des États membres, entraînant des coupures d’électricité à l’échelle nationale.”
La riposte est bienvenue, mais sa portée immédiate est limitée pour les particuliers. Elle cible les projets subventionnés, pas les installations déjà en place. Les parcs solaires importants sont en général plutôt sûrs car gérés par des entreprises industrielles expérimentées. En revanche, les installations photovoltaïques de petite taille sont souvent mal sécurisées, laissant le champ libre à des acteurs malveillants. Et comme les petits parcs et les panneaux individuels sont de plus en plus nombreux, ils finissent par représenter une puissance électrique importante. Des millions de toits résidentiels, donc, constituent aujourd’hui le maillon faible de l’infrastructure énergétique européenne.
Cette décision de Bruxelles est perçue par beaucoup comme un “moment Huawei” pour le secteur de l’énergie, prolongeant l’offensive déjà menée dans le domaine de la 5G. La comparaison n’est pas anodine : il a fallu des années de pression avant que les équipements Huawei ne soient écartés des réseaux mobiles européens. Le secteur solaire est aujourd’hui au même stade de cette prise de conscience, avec une dépendance peut-être encore plus profonde.
Ce que vous pouvez faire, maintenant
En 2024, un chercheur néerlandais a pris le contrôle de quatre millions de centrales photovoltaïques réparties dans 150 pays, en exploitant six vulnérabilités dans les logiciels d’onduleurs. Les correctifs ont été déployés en moins de 24 heures, mais l’ampleur de l’exposition a surpris l’industrie. Les chercheurs de Forescout ont par ailleurs identifié 46 vulnérabilités graves sur les onduleurs Sungrow, Growatt et SMA. Ces failles permettent de lire des données sensibles, d’injecter du code malveillant ou de réécrire le firmware.
Côté pratique, les gestes de base restent accessibles à tout propriétaire. Mettre à jour régulièrement le firmware de son onduleur. Changer les mots de passe par défaut, une simple recherche sur des moteurs comme Shodan suffit à localiser des milliers d’onduleurs accessibles sans mot de passe fort. Isoler l’onduleur sur un réseau Wi-Fi distinct de celui du reste de la maison pour limiter la surface d’attaque. Vérifier dans les paramètres de l’application si le partage des données vers les serveurs du fabricant peut être restreint.
La question de la vie privée ne concerne pas que le propriétaire des panneaux. Si votre onduleur est connecté au réseau domestique, il peut potentiellement cartographier les équipements présents sur ce réseau. Et si votre voisin a une installation mal sécurisée partagée sur le même segment réseau Wi-Fi ou le même boîtier FAI, les données de votre propre connexion locale peuvent théoriquement être exposées. SolarPower Europe a identifié les onduleurs intelligents comme une porte d’entrée vulnérable pour des cyberattaques, précisant qu’un sabotage ciblé de seulement 3 GW de capacité de production pourrait avoir des conséquences significatives pour le réseau électrique européen. La révision du Cybersecurity Act européen, en cours, pourrait à terme imposer des audits obligatoires avant commercialisation, mais la mise en œuvre effective n’est pas attendue avant 2027.
Sources : securite.developpez.com | pv-magazine.fr